Sophos ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยทางไซเบอร์ได้ออกมาเปิดเผยถึง วิธีการที่แรนซัมแวร์อย่าง WastedLocker ใช้หลีกเลี่ยงการตรวจจับของโซลูชันป้องกัน โดยใช้ฟีเจอร์ใน Windows ที่มีอยู่แล้ว
WastedLocker คือแรนซัมแวร์ตัวหนึ่ง ซึ่งล่าสุดก็ถูกใช้ในเหตุการณ์โจมตี Garmin จนให้บริการไม่ได้ไปหลายวันเช่นกัน วันนี้มีการเปิดเผยรายละเอียดจาก Sophos ว่ามัลแวร์ตัวนี้สามารถหลบเลี่ยงการตรวจจับได้อย่างไร
ก่อนจะเข้าใจวิธีการโจมตีเราต้องทราบถึงกลยุทธ์ที่โซลูชันฝั่งป้องกันทำเสียก่อน ไอเดียก็คือโซลูชันป้องกันแรนซัมแวร์จะไปติดตามการเรียก System Call ที่เกี่ยวกับ File Operation ก็คือหากมีโปรเซสที่ไม่รู้จักเรียกเปิด เขียนและปิดไฟล์จำนวนมาก ตัวป้องกันก็จะทำการปิดโปรเซสนั้น นั่นหมายความว่าเราอาจจะสูญเสียไฟล์ไปบางส่วนก่อนที่การป้องกันจะทำงาน แต่ก็ดีกว่าถูกโจมตีทั้งเครื่อง
อย่างไรก็ดีเพื่อเพิ่มประสิทธิภาพใน Windows จะมีการใช้งาน Cache Manager ซึ่งคอนเซปต์ก็ทั่วไปคือการเขียน อ่าน จากหน่วยความจำทำได้เร็วกว่าจากดิสก์ ด้วยเหตุนี้เองทางแทนที่ WastedLocker จะไปจัดการไฟล์โดยตรง ก็เลยเข้าไปเข้ารหัสไฟล์ในแคชแทน ซึ่งเมื่อมีการอัปเดตจำนวนมากระบบ Cache Manager ซึ่งมีสิทธิ์ระดับ SYSTEM ก็จะไปเขียนไฟล์ที่ถูกเข้ารหัสทับไฟล์กลับในระบบ (อัปเดตจาก Cache ไปยังดิสก์นั่นเอง) ทั้งนี้ด้วยสิทธิ์ที่ถูกต้องทางฝั่งการป้องกันเลยปล่อยผ่านการเรียก System Call นี้ไปนั่นเอง
หากใครต้องการศึกษาในเชิงลึกสามารถติดตามเพิ่มเติมได้จากบล็อกของ Sophos ครับ
ขอขอบคุณแหล่งที่มา :